Teste suas habilidades em todos os nossos serviços de hospedagem e ganhe 15% de desconto!

Utilizar o código no ato da compra:

Skills
10.10.2024

Como e porquê ativar e desativar o XMLRPC.PHP no WordPress

o xmlrpc.php é um ficheiro do WordPress que permite o acesso remoto ao seu sítio Web. Permite que aplicações externas, como aplicações móveis, ferramentas de terceiros e pingbacks, interajam com o seu site WordPress. Embora esta funcionalidade possa ser útil, também acarreta riscos de segurança, razão pela qual muitos proprietários de sites WordPress optam por desativar o xmlrpc.php quando não precisam dele. Este guia irá explicar-lhe o que é o xmlrpc.php, por que motivo poderá querer activá-lo ou desactivá-lo e como fazê-lo em segurança

O que é o xmlrpc.php no WordPress?

  • o xmlrpc.php é um ficheiro central do WordPress que permite o acesso remoto ao seu site através do protocolo XML-RPC.
  • Ele é usado para executar ações como
    • Publicar posts a partir de aplicações remotas.
    • Gerir comentários remotamente.
    • Ativar pingbacks e trackbacks.
    • Ligar aplicações WordPress em dispositivos móveis ao seu sítio Web.
  • Exemplos de casos de uso
    • Publicação de publicações a partir de aplicações móveis do WordPress.
    • O plug-in Jetpack usa xmlrpc.php para alguns de seus recursos.
    • Integração de serviços de terceiros que usam XML-RPC para transferência de dados.

Por que você deve desativar o xmlrpc.php?

o xmlrpc.php pode representar riscos de segurança, razão pela qual muitos proprietários de websites optam por desactivá-lo, especialmente se não utilizarem funcionalidades que dependam dele

Riscos de segurança comuns associados ao xmlrpc.php:

  1. Ataques de força bruta
    • Os atacantes podem usar o xmlrpc.php para realizar ataques de força bruta, tentando vários nomes de utilizador e palavras-passe através de pedidos XML-RPC.
    • Isso pode ser feito de forma mais eficiente usando xmlrpc.php porque um único pedido pode tentar várias tentativas de login.
  2. Ataques DDoS
    • o xmlrpc.php pode ser usado em ataques de negação de serviço distribuído (DDoS) para sobrecarregar um site com pedidos de pingback, levando à exaustão de recursos e tempo de inatividade.
  3. Exploração de Pingbacks
    • Os agentes maliciosos podem utilizar a funcionalidade de pingback no xmlrpc.php para amplificar os ataques DDoS ou gerar grandes volumes de spam.

Quando é que se deve ativar o xmlrpc.php?

  • Você deve manter o xmlrpc.php ativado se
    • Precisar de publicar publicações a partir da aplicação móvel do WordPress.
    • Você usa plugins ou ferramentas que dependem do XML-RPC, como o Jetpack.
    • Você precisa de recursos de publicação remota por meio de serviços externos.

Se não necessitar destas funcionalidades, é mais seguro desativar o xmlrpc.php para minimizar os riscos de segurança

Como desativar o xmlrpc.php no WordPress

Método 1: Desativar o xmlrpc.php usando um plugin (recomendado)

Usar um plugin é a maneira mais fácil de desativar o xmlrpc.php sem tocar em nenhum código

Passo 1: Instalar um Plugin

  • Instale um plugin de segurança como Disable XML-RPC-API ou All In One WP Security & Firewall.
  • Pode fazê-lo indo a Plugins > Adicionar novo no seu painel de controlo do WordPress, procurando o plugin e clicando em Instalar agora e depois em Ativar.

Passo 2: Configurar o plugin

  • Se estiver a utilizar Desativar XML-RPC-API
    • Depois de ativar o plugin, o xmlrpc.php será automaticamente desativado.
  • Se estiver a usar All In One WP Security & Firewall
    • Aceda a WP Security > Firewall.
    • Localize a secção XML-RPC e desactive as opções XML-RPC.

Método 2: Desativar xmlrpc.php usando .htaccess (Avançado)

Se se sentir confortável a editar o ficheiro .htaccess, pode bloquear o acesso ao xmlrpc.php diretamente ao nível do servidor

Passo 1: Editar o ficheiro .htaccess

  1. Aceda ao seu diretório raiz do WordPress através de FTP ou do gestor de ficheiros do seu alojamento web (frequentemente designado por public_html).
  2. Abra o ficheiro .htaccess para edição.
  3. Adicione o seguinte código no final do ficheiro .htaccess
    # Bloqueia todo o acesso ao xmlrpc.php <Files xmlrpc.php> Ordem Permitir,Negar Negar de todos </Files>
  4. Salve as alterações e carregue o arquivo .htaccess atualizado de volta para o seu servidor.

Resultado:

  • Esse código impede qualquer acesso externo ao xmlrpc.php, desativando-o efetivamente.

Método 3: Desativar o xmlrpc.php usando o Functions.php (código personalizado)

Também pode desativar o XML-RPC através do ficheiro functions.php do seu tema

Passo 1: Editar o ficheiro functions.php

  1. Vá para Aparência > Editor de Tema no seu painel de controlo do WordPress.
  2. Selecione o ficheiro functions.php na barra lateral direita.
  3. Adicione o seguinte código
    // Desativar XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  4. Clique em Atualizar arquivo para salvar as alterações.

Resultado:

  • Este código irá desativar a funcionalidade XML-RPC no WordPress.

Método 4: Usando as configurações de segurança do seu host da Web

Alguns hosts da Web fornecem opções para desativar o XML-RPC por meio do painel de controle

  • Inicie sessão na sua conta de alojamento web.
  • Procure opções relacionadas com a segurança do WordPress ou com as definições da aplicação.
  • Se disponível, desactive o acesso ao XML-RPC através do painel de segurança.

Como ativar o xmlrpc.php no WordPress

Se tiver desativado anteriormente o xmlrpc.php e precisar de o voltar a ativar, basta inverter os passos utilizados para o desativar

  • Se você usou um plugin como Disable XML-RPC-API, desative ou desinstale o plugin.
  • Se adicionou código a .htaccess ou functions.php, remova o código e guarde as alterações.
  • Se desactivou o XML-RPC através do seu alojamento Web, utilize o painel de controlo do alojamento para voltar a ativar o acesso ao XML-RPC.

Resumo

No WordPress, o arquivo xmlrpc.php permite o acesso remoto e a interação entre seu site e aplicativos ou serviços externos. Isto pode ser conveniente para funcionalidades como a publicação de aplicações móveis ou a ligação de ferramentas de terceiros. No entanto, como cria um ponto de entrada adicional no seu site, torna-se frequentemente um alvo de tentativas de força bruta, spam e até ataques DDoS. Para minimizar estes riscos, muitos proprietários de sites optam por desativar o xmlrpc.php se não utilizarem ativamente as suas funções. Isto pode ser conseguido através de diferentes métodos, como a instalação de um plug-in de segurança dedicado, a adição de regras ao ficheiro .htaccess ou a modificação do ficheiro functions.php no seu tema. Cada abordagem dá-lhe controlo sobre se o acesso remoto é permitido e ajuda a reforçar a segurança geral do seu site. Por exemplo, ao adicionar uma linha simples como negar de todos dentro de uma diretiva .htaccess direcionada para xmlrpc.php, pode bloquear instantaneamente o acesso externo a este ficheiro. Se, em algum momento, você precisar de publicação remota ou integração de aplicativos, a alteração pode ser facilmente revertida. Ao compreender quando ativar ou desativar o xmlrpc.php, garante que o seu site WordPress permanece seguro sem sacrificar as funcionalidades de que realmente necessita.

Teste suas habilidades em todos os nossos serviços de hospedagem e ganhe 15% de desconto!

Utilizar o código no ato da compra:

Skills